Mengumpulkan log CyberArk EPM

Didukung di:

Kode parser ini mengubah data log CyberArk EPM menjadi model data terpadu (UDM). Fungsi ini melakukan iterasi pada setiap peristiwa dalam log, memetakan kolom yang relevan ke kolom UDM yang sesuai, menangani struktur data tertentu seperti "exposedUsers", dan memperkaya output dengan informasi produk dan vendor statis.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di balik proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Konsol Manajemen Server EPM.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Proses Transfer.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

  1. Untuk penginstalan Windows, jalankan skrip berikut:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Untuk penginstalan Linux, jalankan skrip berikut:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen Bindplane untuk menyerap Syslog dan mengirimnya ke Google SecOps

  1. Akses komputer tempat Agen Bindplane diinstal.

  2. Edit file config.yaml sebagai berikut:

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Cyberark_EPM
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Mulai ulang Agen Bindplane untuk menerapkan perubahan:

    sudo systemctl restart bindplane

Mengonfigurasi Penerusan Peristiwa Pihak Ketiga di EPM

  1. Login ke konsol Pengelolaan Server EPM.
  2. Buka Lanjutan > Konfigurasi Server.
  3. Di bagian Pemroses Peristiwa, cari setelan Pemroses pihak ketiga.
  4. Tetapkan nilai ke Aktif untuk mengaktifkan pemroses pihak ketiga.
  5. Konfigurasikan Pemroses syslog dengan memberikan detail berikut:
    • IP Server Syslog: masukkan alamat IP server syslog (Bindplane).
    • Port Syslog: tentukan nomor port server syslog (Bindplane).
    • Protocol: pilih protokol yang dikonfigurasi di server syslog (TCP atau UDP).
    • Format: pilih Syslog sebagai format untuk log.
  6. Klik Simpan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
agentId principal.asset.asset_id Menggabungkan "agentId:" dengan nilai kolom agentId.
computerName principal.hostname Memetakan kolom computerName secara langsung.
displayName metadata.description Memetakan kolom displayName secara langsung.
eventType metadata.product_event_type Memetakan kolom eventType secara langsung.
exposedUsers.[].accountName target.user.attribute.labels Membuat label dengan kunci "accountName_[index]" dan nilai dari exposedUsers.[index].accountName.
exposedUsers.[].domain target.user.attribute.labels Membuat label dengan kunci "domain_[index]" dan nilai dari exposedUsers.[index].domain.
exposedUsers.[].username target.user.attribute.labels Membuat label dengan kunci "username_[index]" dan nilai dari exposedUsers.[index].username.
filePath target.file.full_path Memetakan langsung kolom filePath.
hash target.file.sha1 Memetakan kolom hash secara langsung.
operatingSystemType principal.platform Memetakan "Windows" ke "WINDOWS" jika kolom operatingSystemType adalah "Windows".
policyName security_result.rule_name Memetakan kolom policyName secara langsung.
processCommandLine target.process.command_line Memetakan kolom processCommandLine secara langsung.
penayang additional.fields Membuat kolom dengan kunci "Publisher" dan string_value dari kolom penayang.
sourceProcessCommandLine target.process.parent_process.command_line Memetakan langsung kolom sourceProcessCommandLine.
sourceProcessHash target.process.parent_process.file.sha1 Memetakan langsung kolom sourceProcessHash.
sourceProcessSigner additional.fields Membuat kolom dengan kunci "sourceProcessSigner" dan string_value dari kolom sourceProcessSigner.
threatProtectionAction security_result.action_details Memetakan kolom threatProtectionAction secara langsung.
metadata.event_timestamp Menetapkan stempel waktu peristiwa ke create_time entri log.
metadata.event_type Di-hardcode ke "STATUS_UPDATE".
metadata.log_type Di-hardcode ke "CYBERARK_EPM".
metadata.product_name Di-hardcode ke "EPM".
metadata.vendor_name Di-hardcode ke "CYBERARK".
security_result.alert_state Di-hardcode ke "ALERTING".
userName principal.user.userid Memetakan kolom userName secara langsung.

Perubahan

2023-08-22

  • Parser yang baru dibuat

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.